Vår referanse (bes oppgitt ved svar)

Størrelse: px
Begynne med side:

Download "Vår referanse (bes oppgitt ved svar)"

Transkript

1 Narvik kommune Postboks NARVIK Deres referanse Vår referanse (bes oppgitt ved svar) 1111/1210-6/PEJA 11/ /SEV 16. januar 2012 Dato Varsel om vedtak - Ny e-postløsning i Narvik kommune - Google Apps Det vises til Datatilsynets brev av 30. juni 2011, kommunens brev av 8. juli 2011, Datatilsynets brev av 1. august 2011, samt kommunens redegjørelse mottatt 2. september Saken dreier seg om kommunens eksisterende, og planlagte utvidet, bruk av produktet Google Apps. I Datatilsynets brev av 30. juni 2011 ble det bedt om en redegjørelse fra kommunen om følgende punkter: 1. En redegjørelse for hvilke personopplysninger kommunen skal behandle i Google Apps. 2. Risikovurderingen som kommunen har foretatt i anledning behandling av personopplysninger i Google Apps, jf personopplysningsloven 13 og personopplysningsforskriftens Kopi av avtalen kommunen eventuelt har inngått med Google, samt oversikt over hvilke sikkerhetstiltak Google har i løsningen kommunen har valgt å benytte. 4. Kopi av eventuelt inngått databehandleravtale mellom kommunen og Google, samt en beskrivelse av informasjonssystemets utforming og fysiske plassering. 5. En beskrivelse av hvordan følgende problemstillinger er avklart med Google: Sikkerhetskopiering Hvem hos Google som har tilgang til kommunens personopplysninger På hvilken måte kommunen skal gjennomføre sikkerhetsrevisjon hos Google, jf personopplysningsforskriften 2-5. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 Vurdering av kommunens redegjørelse Punkt 1. En redegjørelse for hvilke personopplysninger kommunen skal behandle i Google Apps. Regelverkets krav Personopplysningsloven 13 stadfester at den behandlingsansvarlige gjennom planlagte og systematiske tiltak skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjenglighet ved behandling av personopplysninger. Personopplysningsforskriften 2-11 tredje ledd stadfester at personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. Kommunens redegjørelse Kommunen stadfester at det er kun e-postløsning som nå er tatt i bruk. Det opplyses imidlertid at virksomheten også vurderer å ta i bruk andre tjenester som tilbys via Google Apps. Kommunen begrunner dette med behov for effektiv intern samhandling gjennom deling av dokumenter, presentasjoner, regneark, skjema eller tegning. Kommunen oppstiller deretter eksempler på områder hvor det kan være aktuelt å benytte de øvrige verktøyene. Felles for eksemplene er at behandling av personopplysninger, hva gjelder de ansatte, vil avgrenses til navn, telefonnummer, e-postadresse og organisasjonstilhørighet. Kommunen stadfester videre at alle disse opplysningene allerede er publisert på kommunens websider. Datatilsynets vurdering Datatilsynet begrenser sin vurdering til det oppgitte anvendelsesområdet: E-post til/fra- og mellom kommunens ansatte. Kommunen beskriver klarhet i reglementet at ingen sensitive personopplysninger skal sendes med e-post. Mye av arbeidet i kommunen er knyttet til tjenesteyting overfor innbyggerne i kommunen, og det er derfor naturlig at mye av kommunikasjonen til/fra kommunen og mellom kommunens ansatte inneholder personopplysninger. Rent praktisk har kommunen, etter tilsynets vurdering, utfordringer med å forhindre at sensitive personopplysninger blir sendt via e-post, verken til/fra- eller mellom kommunens ansatte. Kommunen kan imidlertid begrense risikoen ved systematisk opplæring og gjentatt kommunikasjon av gjeldende rutiner. Datatilsynet mener at faren for uautorisert sending av sensitive eller konfidensielle personopplysninger vil gjelde så vel mellom ansatte som forsendelse til og fra publikum. Tilsynet ser imidlertid at dette ikke er en problemstilling som avgrenses til Google Apps. Årsaken til at det likevel trekkes frem er at slike opplysninger med foreskrevet løsning vil behandles i systemer som ikke er under behandlingsansvarliges direkte kontroll. Uautoriserte forsendelser (for eksempel e-post som inneholder sensitive personopplysninger) vil ligge på databehandlerens servere i lang tid, etter hva tilsynet erfarer også en tid etter at brukeren aktivt har slettet meldinger. Dette skyldes blant annet replikering av innhold. 2

3 Kommunen trekker frem en analogi til postens distribusjonssystem når det gjelder publikum sin mulighet til å vurdere sikkerhetsnivået i kommunikasjonen mellom kommunen og publikum uavhengig om dette er e-post eller post. Datatilsynet slutter seg ikke til et slikt resonnement. Sikkerhetsnivå og organisering av postens distribusjonssystem er underlagt streng regulering gjennom postloven med tilhørende forskrift. Brev med beskyttelsesverdig innhold blir formidlet i lukkede konvolutter, i nødvendige tilfeller også som rekommandert sending. Sikkerhetsnivået for ukryptert e-post er derimot basert på en standardisert protokoll kalt Simple Mail Transfer Protocol (SMTP). Denne protokollen tilfører i praksis ingen beskyttelse av innholdet i forsendelsen. Datatilsynets konklusjon Kommunen kan ikke utelukke at det vil bli behandlet sensitive personopplysninger i løsningen, og må derfor ta høyde for at det i systemet vil bli behandlet både sensitive personopplysninger og personopplysninger generelt. Datatilsynet kan ikke se at kommunen har gjennomført tilstrekkelige tiltak, jf personopplysningsforskriftens 2-11, med hensyn til at det i løsningen vil bli behandlet konfidensielle opplysninger. Dette må kommunen ta hensyn til ved en vurdering av informasjonssikkerheten, jf drøftelsen i punktene nedenfor. Punkt 2. Redegjørelse med hensyn til risikovurderingen som kommunen har foretatt i anledning behandling av personopplysninger i Google Apps, jf personopplysningsloven 13, jf personopplysningsforskriftens 2-4. Regelverkets krav Personopplysningsloven 13 stadfester at den behandlingsansvarlige gjennom planlagte og systematiske tiltak skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjenglighet ved behandling av personopplysninger. Personopplysningsforskriften 2-4 annet ledd stadfester at den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Kommunens redegjørelse Kommunen redegjør for at det er gjennomført en helhetlig risikoanalyse når det gjelder innføring av nytt IKT-system. Analysen var vedlagt kommunens brev. Ifølge analysen vil bruken av Google Apps i de fleste tilfeller gi et tilsvarende risikobilde som kommunens gamle løsning med noen unntak. Kommunen skisserer at eksisterende utfordring med plassmangel og tilgang til teknologiressurser utgjorde en viktig faktor i valg av løsning. Kommunen peker videre på at risikoen for at eksisterende organisasjon ikke klarer å skaffe og vedlikeholde spesialkompetanse til drift av nok et spesialisert IT-system. Kommunen redegjør for at det av hensyn til plassmangel ikke er ønskelig å belaste kommunens datasentral ytterligere. 3

4 Kommunen redegjør videre for at man skal legge til et nytt IT-system. Enkelte av systemene kommunen bruker i dag er funnet formålstjenelig å bytte ut med en løsning som krever mindre driftsressurser. Slik Datatilsynet forstår det skal kommunen fullstendig avvikle bruken av gammel løsning for så å gå over til ny. I en slik migrering vil det være naturlig at det blir frigjort maskinpark og fysisk plass. Kommunen redegjør for at man legger til grunn at Google Apps sin løsning er tilstrekkelig med tanke på tilgjenglighet, integritet og sikkerhet. Likevel erkjenner kommunen at det er verdt å merke seg at det i flere tilfeller ikke kan beskrives noen sannsynlighet/hyppighet da det ikke forefinnes noe anvendbart referansemateriale for denne type hendelser. Kommunen redegjør også for hvordan den skal kunne revidere sin databehandler. Dette skal skje ved at et 3. parts firma, som databehandleren engasjerer, reviderer basert på standarden ISAE3402 og tilgjengliggjør sine funn i en revisjonsrapport. Kommunen skal få tilgang til denne og vil kunne ta opp tema i kommunens informasjonssikkerhetsutvalg. Datatilsynets vurdering Kommunen velger på tross av manglende underlag å sette verdier for å definere sannsynligheten i sin risikovurdering. Tilsynet merker seg at det i analysen stadfestes at det er svært liten sannsynlighet for datainnbrudd, svikt i kontinuitet og manglende monitorering i Google Apps sin løsning som nevnt uten å ha anvendbare referansemateriale. Datatilsynet mener at usikkerheten knyttet til sannsynligheten burde komme vesentlig mer til uttrykk i analysen. Når det gjelder svikt i kontinuitet kan kommunen ikke utelukkende vurdere oppetid hos databehandler, men må også forholde seg til oppetid i infrastrukturen fra kommunens nett til databehandleren. For Datatilsynet er det uklart hvordan kommunen gjennom ovennevnte revisjonsrapporter skal kunne endre på hvordan databehandleren behandler deres data. For tilsynet fremstår det som om kommunen kun kan endre på hvordan de selv bruker løsningen, og i mindre grad utformingen av løsningen i seg selv. Det siste synspunktet er basert på observasjoner tilsynet har generelt med avtaler mellom virksomheter. En revisjonsrapport, basert på standarden ISAE3402, er forøvrig normalt en bekreftelse eller avkreftelse om at virksomheten etterlever en gitt standard, egne regler, eget sikkerhetsregime og eventuelle sertifiseringer løsningen skal ha. Slike rapporter vil dermed i mindre grad gi svar på om kommunens standard hva gjelder sikkerhetstiltak er oppfylt. Kommunen kan selvsagt velge en annen leverandør hvis resultatene i revisjonsrapporten ikke er tilfredsstillende, men det må altså antas at det vil være utfordrende å få til direkte endringer hos eksisterende leverandør. Datatilsynet er kjent med at et skifte av leverandør kan by på store utfordringer med tanke på innlåsingseffekt. Dette kan for eksempel være kontraktstid og merarbeid i migreringsprosess. I beste fall må kommunen verifisere at dette rent praktisk lar seg gjøre om en tvist skulle oppstå. 4

5 Datatilsynets konklusjon Datatilsynet kan ikke se at risikovurderingen gir et fullstendig bilde av hvilke risikoer som er forbundet med løsningen kommunen har valgt. En slik risikovurdering som kommunen har foretatt i dette tilfellet, er ikke tilstrekkelig i henhold til personopplysningsforskriftens 2-4. Punkt 3 og 4. Kopi av databehandleavtalen kommunen eventuelt har inngått med Google, herunder: Oversikt over hvilke sikkerhetstiltak Google har i løsningen kommunen har valgt å benytte. En beskrivelse av informasjonssystemets utforming og fysiske plassering. Regelverkets krav Databehandleravtale Personopplysningsloven 15 stadfester at en databehandler ikke kan behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten en slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av 13. Informasjonssystemets utforming og sikkerhetstiltak Personopplysningsloven 13 første ledd stadfester at den behandlingsansvarlige gjennom planlagte og systematiske tiltak skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjenglighet ved behandling av personopplysninger. Personopplysningsloven 13 tredje ledd stadfester at en behandlingsansvarlig som lar andre få tilgang til personopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. Fysiske plassering Personopplysningsloven 29 stadfester at personopplysninger bare kan overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktivet 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling. Kommunens redegjørelse Kommunen har ikke inngått gjensidig avtale med Google om leveranse av løsning for e-post, men har gjennom systemintegrator Avalon Information Systems AB blitt referert til Googles dokument for beskrivelse av tjenestenivå og kundestøtte. Kommunen beskriver at siden løsningen er basert på Cloud-computing fordrer dette ikke ekstra avtale om support fra leverandør, ut over de tjenestenivåene som er listet i standardavtalen fra Google. Kommunen redegjør for hvilke sikkerhetstiltak Google har beskrevet i Security Whitepaper: Google Apps Messaging and Collaboration Products. Datatilsynet har i andre sammenhenger 5

6 erfart at slike dokumenter ofte er gjenstand for justering fra leverandørens side uten forhandling. Kommunen vil i så fall enten måtte forhold seg til endringer eller velge bort leverandøren. Kommunen viser til sikkerhetsmekaniser som Google beskriver i sitt Whitepaper. I dette omtales en rekke sikkerhetsmessige tilpasninger og muligheter den behandlingsansvarlige kan iverksette gjennom løsningen. Kommunen har ikke beskrevet om de har valgt noen av disse tilpasningene og mulighetene. Kommunen mener at leverandørens Whitepaper, Googles tilslutning til Safe Harbor avtalen, samt at kommunen har tilgang til revisjonsrapportene, burde være tilstrekkelig for å tilfredsstille myndighetenes krav om databehandleravtale. Kommunen beskriver at Google ikke ønsker av sikkerhetsmessige årsaker å frigi detaljer rundt leverandørens datasentre. Google ønsker heller ikke å offentliggjøre tekniske detaljer som kan være kompromitterende for sikkerheten. Datatilsynets vurdering Datatilsynet har på sine internettsider laget et forslag til databehandleravtale som inneholder de punktene tilsynet mener som et minimum bør inngå i en databehandleravtale. Disse punktene er: Avtalens hensikt, formål, databehandlers plikter, bruk av underleverandør, sikkerhet, sikkerhetsrevisjoner, avtalens varighet, ved opphør, meddelelser, samt lovvalg og verneting. Når databehandleren ikke ønsker å frigi opplysninger om i hvilke land deres datasentre er plassert, skaper dette utfordringer med hensyn til kravene til en databehandleravtale, jf personopplysningslovens 15 og 29. Kommunen vil ikke i avtalen kunne klargjøre sikkerhetsnivået i løsningen på en tilstrekkelig måte, uten å kunne vite at stater opplysninger overføres til har et tilstrekkelig vern for personopplysninger. Stater som har gjennomført direktivet 95/46/EF Om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysinger, oppfyller kravet til forsvarlig behandling. Google er et amerikansk selskap og det er derfor mulig at opplysninger som behandles i kommunens e-postløsning vil blant annet lagres i USA. Enn så lenge står ikke USA på listen over land som kommisjonen har anerkjent at sørger for tilstrekkelig personopplysningsvern. For å bøte på dette ble Safe Harbor ordningen etablert i år Ordningen innebærer at amerikanske selskaper vil kunne anses å tilby tilstrekkelig vern for personopplysninger som de mottar fra EU/EØS, ved at de frivillig implementerer et sett regler for behandling av opplysningene. Etter at Safe Harbor ble etablert har USA innført loven Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, forkortet USA Patriot Act, som en følge av terrorangrepet 11. september Loven er svært komplisert og omfattende. Denne loven gir amerikanske myndigheter mulighet til å overvåke terrormistenkte uten siktelse eller rettergang. 6

7 Tilsynet ønsker i denne sammenhengen å påpeke at USA Patriot Act må anses å være en utfordring med hensyn til ivaretakelse av personvernet, også innenfor Safe Harbor-ordningen. Datatilsynets konklusjon Datatilsynet kan på bakgrunn av det ovennevnte ikke se at standardavtalen til Google er tilstrekkelig i forhold til hva som forventes av en databehandleravtale, jf personopplysningsloven 15. Etter tilsynets vurdering vil manglende databehandleravtale være et avvik i forhold til kravene i personopplysningsloven 15. Datatilsynet kan ikke se at kommunen har anledning til å benytte en databehandler som bl.a. ikke oppgir hvilket land opplysningene vil bli behandlet i og som en konsekvens av det ikke tilstrekkelig redegjørelse for sikkerhetstiltak, jf personopplysningsloven 29. Punkt 5. En beskrivelse av hvordan følgende problemstillinger er avklart med Google: Sikkerhetskopiering Hvem hos Google som har tilgang til kommunens personopplysninger På hvilken måte kommunen skal gjennomføre sikkerhetsrevisjon hos Google, jf personopplysningsforksriften 2-5. Regelverkets krav Personopplysningsforskriften 2-12 fjerde ledd stadfester at personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk, skal sikkerhetskopieres. Personopplysningsforskriften 2-8 stadfester at medarbeidere hos den behandlingsansvarlige bare skal bruke informasjonssystemet til å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt. Personopplysningsforskriften 2-5 stadfester at sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjonen skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf 2-6. Kommunens redegjørelse Kommunen viser til Googles Whitepaper, der det står at dataene blir lagret på flere systemer på samme datasenter og replikeres samtidig til et sekundært datasenter. Det er ingen beskrivelse av hvordan Google har konstruert deres sikkerhetskopieringssystem, bortsett fra at det forutsettes at det aldri skal mistes noen data. Når det gjelder avhending beskriver Whitepaper hvordan filen vil bli avindeksert og etter hvert skrevet over av andre data. Google beskriver heller ikke hvem som har tilgang til kommunens opplysninger, men at disse er underlagt Googles system for autorisasjon og tilgangskontroll. Det beskrives ikke hvor mange personer dette utgjør eller avgrenses konkret til stillingstype eller behov for tilgang. Sikkerhetsrevisjon er besvart under spørsmål 2. 7

8 Datatilsynets vurdering og konklusjon Kommunen har lagt til grunn Googles beskrivelse av løsningen. Datatilsynet kan ikke se at kommunen har noen påvirkningsmulighet på hvordan denne er satt i sammen. På bakgrunn av dette kan ikke Datatilsynet se at kommunen har godtgjort at vilkårene i personopplysningsforskriftens kapittel 2 er oppfylt. Andre forhold I vedlegget Risiko- og sårbarhetsanalyse for innføring av nytt e-postssystem i Narvik kommune Google Apps (analysedokument) side 11, 13 og 15 står det at Google nylig har innført en tilleggsfunksjon som kan aktiveres av kommunen for å avslå forsendelse av e-post som inneholder ord eller uttrykk som kan tyde på sensitivt eller uakseptabelt innhold i henhold til gjeldende retningslinjer. Datatilsynet kan ikke se at innføringen av en slik tilleggsfunksjon alene vil løse ovennevnte utfordringer. Det er mulig at en slik løsning, avhengig av hvordan den praktiseres, kan være problematisk sett i sammenheng med personopplysningsforskriften kapittel 9. På side 13 i analysedokumentet står det at det kan legges på et ytterligere lag med sikkerhet ved at den enkelte ansatte som sender e-post må bekrefte at e-posten ikke inneholder sensitive personopplysninger ved å skrive teksten Inneholder ikke sensitive personopplysninger i meldingen. Datatilsynet mener at det ikke nødvendigvis er slik at denne rutinen i realiteten tilfører et ekstra lag med sikkerhet. Vi ser at dette kan bli automatisert av brukerne for å få sendt e-poster. Dermed er dette et tiltak som lett lar seg gjøre å omgå, og som kun i liten grad er egnet til å forhindre uønsket adferd. Segmentering av ulike behandlingsansvarlige En databehandler kan ikke behandle personopplysninger på vegne av en behandlingsansvarlig uten at det er inngått en databehandleravtale, jf personopplysningslovens 15. Det betyr i praksis, at dersom man behandler personopplysninger på vegne av flere behandlingsansvarlige, må databehandler behandle personopplysningene for hver enkelt behandlingsansvarlig tilstrekkelig separat. Google har i sine dokumenter ikke redegjort for hvordan dette er tilstrekkelig håndtert i løsningen. Det er dog beskrevet at totalsystemet skal sikre at den behandlingsansvarliges data ikke skal være mulig å kunne ta ut fra en lokasjon. Dette kan innebære en sammenblanding av informasjon tilhørende forskjellige behandlingsansvarlige. Nivået for informasjonssikkerhet er felles for alle behandlingsansvarlige, basert på retningslinjer fastsatt av databehandleren. En slik praksis kan komme i konflikt med rollen til Google som databehandler for ulike aktører, som kan ha ulike krav til sikkerhet. Problemet med slik sekvensiell lagring aktualiseres videre ved behov for å slette informasjon fra løsningen. Dette må gjøres etter de retningslinjer som forskjellige behandlingsansvarlige fastsetter. Videre aktualiseres problemstillingen ved spørsmål om sletting i sikkerhetskopier, jf personopplysningslovens 28 om sletting. Ved en sekvensiell database vil man måtte gå igjennom hver eneste post i databasen for å vurdere om den skal slettes, i motsetning til en segmentert database for hver enkelt databehandlers data hvor man kan gå inn og slette elementer som ikke lenger er relevante. Dette kan gjøres i form av segmentering av databasen. 8

9 En slik løsning innebærer at data fra ulike behandlingsansvarlige ikke blandes sammen i en stor base, men holdes tilstrekkelig atskilt. En segmentering vil være nødvendig for all aktivitet som kan tilskrives en behandlingsansvarlig. Dette omfatter også kopi av kommunisert innhold, logger og liknende. Datatilsynets konklusjon Kommunen må i henhold til regelverket implementere en tilfredsstillende logisk eller fysisk segmentering av informasjonssystemet slik at krav til tilfredsstillende informasjonssikkerhet og ulike behov mht. sletting mellom ulike behandlingsansvarlige, kan ivaretas, jf personopplysningslovens 13 og 15. Oppsummering Ut fra det ovennevnte kan ikke Datatilsynet se at kommunen i tilstrekkelig grad har forsikret seg om at bruken av Google Apps er i tråd med personopplysningsloven. Dette gjelder særlig inngåelse av en gyldig databehandleravtale i henhold til personopplysningslovens 15, krav med hensyn til overføring av personopplysninger til utlandet, jf lovens 29 og ivaretakelse av kravene til informasjonssikkerhet i henhold til personopplysningslovens 13. Med bakgrunn i tilsynets konklusjon varsles det vedtak mot kommunen. Det vises til påfølgende avsnitt. Varsel om vedtak Dette er et varsel om at Datatilsynet, med hjemmel i personopplysningslovens 46, vil fatte vedtak om følgende pålegg: 1. Narvik Kommunes bruk av Google Apps må bringes til opphør, med mindre behandlingen av personopplysninger i løsningen kan bringes i tråd med personopplysningslovens krav, jf personopplysningslovens 13, 15 og 29. Frist for tilsvar Eventuelle merknader til foreliggende varsel bes sendt Datatilsynet snarest, og senest innen 1.mars Det anbefales at virksomheten oversender Datatilsynet et forslag til fremdriftsplan for lukking av de avvik som er beskrevet i kontrollrapporten. Datatilsynet vil se hen til denne fremdriftsplanen når det skal beslutte en frist for virksomhetens gjennomføring av vedtaket. Datatilsynet vil likevel ikke fatte vedtak som her nevnt dersom virksomheten innen samme frist dokumenterer at de avvikene som er beskrevet i kontrollrapporten er lukket. Med hilsen Bjørn Erik Thon direktør Stein Erik Vetland overingeniør 9

10 10

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss Bjørn Erik Thon God informasjonssikkerhet er viktigere enn noen gang 16.10.2012 Side 2 16.10.2012 Side 3 16.10.2012 Side 4 16.10.2012

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014. Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Databehandleravtale for NLF-medlemmer

Databehandleravtale for NLF-medlemmer Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt Behandlingsansvarlig) Mattilsynet. (heretter kalt Databehandler) DATABEHANDLERAVTALE mellom [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") og Mattilsynet (heretter kalt "Databehandler") Vedrørende Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Skytjenester bruk dem gjerne, men bruk dem riktig

Skytjenester bruk dem gjerne, men bruk dem riktig Skytjenester bruk dem gjerne, men bruk dem riktig 29.10.2014 Dagens tema Bruk av skytjenester, og bevisst(løs) bruk Skytjenester og informasjonssikkerhet Datatilsynets krav til skytjenester Hvor trykker

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen (behandlingsansvarlig)

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale mellom. (Oppdragsgiver) Behandlingsansvarlig Kommunesektorens organisasjon (KS) som Databehandler Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse

Detaljer

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,

Detaljer

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om

Detaljer

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 mellom Utdanningsdirektoratet direktoratet for barnehage, grunnopplæring og IKT Organisasjonsnummer:

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011 Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen») Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale Mellom (behandlingsansvarlig) og Nasjonalt senter for læringsmiljø

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO Databehandleravtale mellom [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» og Xledger AS org.nr. 987290986, Østensjøveien 32 0667 OSLO heretter «Underdatabehandler» 1/5 1 Avtalens formål Denne

Detaljer

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021 Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig

Detaljer

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale digitale arkiv og uttrekk for deponering /X,4 finnmark IXS - J.Ki2tfinmarkun IXS - I3C finnmcirku IXS Deanu gielda - Tana kommune Rådhusveien 24 9845 TANA Vår ref Deres ref Saksbehandler Dato 2017/247-2 Gunnhild Engstad 07.12.2017 direkte tlf.:92671905

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

som gjelder databehandlerens behandling av personopplysninger på vegne av datakontrolleren.

som gjelder databehandlerens behandling av personopplysninger på vegne av datakontrolleren. Databehandleravtale Datakontroller: Kunde innfor EU eller EØS (Datakontroller) og Databehandler: Europeisk representant Selskap: ONE.COM (B-one FZ-LLC) One.com A/S Org.nr.. Org.nr. 19.958 CVR: 28677138

Detaljer

Registrerte og personopplysninger som behandles

Registrerte og personopplysninger som behandles Databehandleravtale i henhold til Personopplysningsloven 15. juni 2018 nr 38 og EUs personvernforordning 2016/679 («GDPR»), mellom: Behandlingsansvarlig og Norsk kulturskoleråd (Kor Arti ) Databehandler

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr Databehandleravtale I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016 (GDPR), artikkel 28, jf. artikkel 29 og 32-36, inngås følgende avtale mellom

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Databehandleravtale Kontorvarehuset Møre og Romsdal AS Databehandleravtale Kontorvarehuset Møre og Romsdal AS I henhold til personopplysningslovens 13, jf. 15, personopplysningsforskriftens kapittel 2 og EUs personvernforordning (GDPR). mellom Navn på kunde..

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Personvern - sjekkliste for databehandleravtale

Personvern - sjekkliste for databehandleravtale ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten

Detaljer

POWEL DATABEHANDLERAVTALE

POWEL DATABEHANDLERAVTALE POWEL DATABEHANDLERAVTALE mellom Powel AS. Behandlingsansvarlig og «Navn på selskap». Databehandler Innhold 1 Formålet med Databehandleravtalen... 3 2 Definisjoner... 3 3 Formål med behandlingen... 3 4

Detaljer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen

Detaljer

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale mellom Behandlingsansvarlig Tjenesteleverandøren Iris skolefoto as Postboks

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Osen kommune behandlingsansvarlig

Detaljer

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og

Detaljer

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet Flekkefjord kommune Kirkegaten 50 4400 FLEKKEFJORD Deres referanse Vår referanse Dato 15/3356 14/00404-9/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Detaljer

Pålegg om stans av behandling av personopplysninger - Gator AS

Pålegg om stans av behandling av personopplysninger - Gator AS Gator AS Håkon Magnussons gate 8 7041 TRONDHEIM Deres referanse Vår referanse Dato 17/01432-12/EOL 07.12.2017 Pålegg om stans av behandling av personopplysninger - Gator AS Vi viser til vårt brev av 18.

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale etter personopplysningsloven m.m Databehandleravtale etter personopplysningsloven m.m Databehandleravtale I henhold til personopplysningsloven 13, jf. 15 og personopplysningsforskriftens kapittel 2. Avtalen omhandler også håndtering av

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2. Databehandleravtale for Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Vedlegg 10 Databehandleravtale Versjon 2.4 Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Avtaleskisse

Detaljer

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT PERSONVERNERKLÆRING FOR STIFTELSEN SIKT 1 Behandling av personopplysninger ved Stiftelsen SIKT Når du er i kontakt med SIKT kan det forekomme at vi innhenter og behandler personopplysninger om deg. Vi

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Public 360 Online Datasikkerhet

Public 360 Online Datasikkerhet Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler» DATABEHANDLERAVTALE MELLOM, org.nr. «Behandlingsansvarlig» og Info Vest Forlag, org.nr. 992 603 747 «Databehandler» Databehandleravtalen gjelder: lagring av data knyttet til bruk av digitale observasjons

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer